Bundestrustbroker (BTB)

Ab Herbst 2022 zog eIAM schrittweise von virtuellen Maschinen auf die Containerinfrastruktur des BIT um. Mit diesen Umzügen wurde die Funktionalität der eIAM Trustbroker, welche für die Identitäts- und Attributvermittlungen zuständig waren, auf die eIAM-Eigenentwicklung namens Bundestrustbroker (BTB) migriert. Diese Containerinfrastruktur mit dem BTB bringen folgende Vorteile:

Welche funktionalen Anforderungen deckt der aktuelle BTB ab?

  • Ersatz für der bestehenden eIAM Trustbroker, welche auf Microsoft ADFS basieren und auf virtuellen Maschinen betrieben werden.
  • Portalfunktionalität zur Vorauthentifizierung, das sogenannte Home Realm Discovery (HRD), damit der Benutzer IdPs auswählen kann (von ADFS übernommen).
  • Mögliche Filterung, Umwandlung und Anreicherung der Attribute von Claims-Providern mit Autorisierungs- und anderen erforderlichen Autorisierungsdaten (von ADFS übernommen).
  • Neu: unterstützt das Single-Sign-On/Single-Log-Out zwischen mehreren vertrauenden Parteien auf der Grundlage von SSO/SLO-Richtlinien und eigener Sitzungsverfolgung.
  • Neu: Möglichkeit einer Vorautorisierungsfunktionalität z.B. wenn beim Onboarding erforderliche Zugriffsrollen fehlen.
Mit der Einführung von PEP-Funktionalität auf dem BTB konnte die eIAM Architektur für Standard eIAM Integrationen vereinfacht werden, da keine dedizierten PEPs mehr notwendig sind.

Welche technischen Anforderungen erfüllt der aktuelle BTB?

  • Er läuft auf einer Container-Plattform für einfache Instanziierung, Rollover und Skalierbarkeit (Kubernetes, speziell BIT Atlantica CCP-Cluster ccp05)
  • Er unterstützt Canary Deployment, um Änderungen zu überprüfen, bevor sie sich auf die Benutzer auswirken (so können Tester über Cookies neue Versionen überprüfen, bevor sie veröffentlicht werden)
  • Ausrichtung des Technologie-Stack auf die BIT-Standards, um die Plattform Wartungsarbeiten zu optimieren (Java, Spring-Boot, Opensaml, Angular)
  • Entwicklung und Konfiguration mittels dem GitOps-Ansatz (operatives Rahmenwerk) d.h. einer vollständig und nachvollziehbaren Einrichtung in BIT Bitbucket
  • Link GitHub: trustbroker.swiss

BTB Rollout für Applikationen

Der BTB wurde mit dem Service Release Syrah am 08.01.2023 pro-aktiv ausgerollt und aktiviert. Mit dieser Weiterentwicklung des Bundestrustbrokers als Föderationskomponente für eIAM stellten wir die Weichen für die Zukunft. Wir eliminierten technologische Abhängigkeiten und reduzierten die Komplexität in der eIAM Architektur. Gleichzeitig ermöglichten wir mit der Weiterentwicklung, dass die Komponente für wichtige zukünftige Anforderungen fit bleibt.

Die eIAM integrierten Applikationen wurden dann schrittweise auf die BTB und CI/CD Container Infrastruktur übernommen. Diese Migration war für alle Applikationen transparent und ohne Beeinträchtigungen und wurde Ende 1Q 2024 abgeschlossen.

Infolink auf die eIAM Automationsplattform: eIAM Automation und QS